Издание "Коммерсант" со ссылкой на технического директора Positive Technologies по развитию государственного сектора Алексея Батюка сообщило, что киберисследователи выявили 213 уязвимостей в навязываемом чиновниками мессенджере Max в рамках программы Bug Bounty.
Батюк на международной выставке "Связь-2026" отметил, что данный подход является достаточно эффективным, поскольку "белые хакеры" и специалисты по кибербезопасности мотивированы на поиск уязвимостей благодаря вознаграждению. Он сообщил, что в настоящее время на платформе представлен национальный мессенджер, и киберисследователи уже направили 213 отчетов об обнаруженных уязвимостях.
Программа Bug Bounty, предполагающая поиск уязвимостей в продуктах компании за вознаграждение, была запущена для мессенджера Max 1 июля 2025 года. При этом на странице программы на платформе Standoff365 (входит в Positive Technologies) указано, что к 10 апреля 2026 года было принято 288 отчетов об уязвимостях из 454 поданных, а общая сумма выплат составила почти 22 млн рублей при средней выплате 349 тыс. рублей. За последние 90 дней сумма выплат достигла 9,5 млн рублей. Также программа действует на платформах Bi.Zone и "Киберполигон", где совокупные выплаты составили около 1,5 млн рублей.
Один из специалистов по поиску уязвимостей сообщил "Коммерсанту", что чаще всего уязвимости в Max обнаруживаются через вектор IDOR (Insecure Direct Object Reference), который позволяет получить несанкционированный доступ к данным или действиям путем подмены идентификаторов объектов в запросах к серверу.
В Центре безопасности Max заявили, что каждый отчет проходит проверку, а выявленные уязвимости устраняются в приоритетном порядке. Там также отметили, что платформу ранее изучали международные эксперты на конференции Zero Nights 2025, после чего было увеличено вознаграждение за найденные уязвимости для привлечения специалистов.
В пресс-службе Max подчеркнули, что данные пользователей якобы защищены, а программа Bug Bounty является мировым стандартом в области кибербезопасности. По их словам, участие независимых специалистов позволяет находить и устранять уязвимости до их возможного использования злоумышленниками, а сам факт выявления уязвимостей якобы не свидетельствует о небезопасности продукта, а отражает работу системы контролируемого поиска и устранения рисков.
